La creación de videos con Inteligencia Artificial (IA) es una tendencia en auge. Sin embargo, esta tecnología también está siendo utilizada por cibercriminales para distribuir malware. Un reciente caso revela un sitio falso de CapCut que, en lugar de generar videos, instala software de acceso remoto en los dispositivos de las víctimas.
- Un sitio falso de CapCut promete generar videos con IA, pero en realidad instala un troyano.
- La descarga del supuesto video es un archivo malicioso que permite el acceso remoto al dispositivo.
- Se han detectado sitios similares que suplantan marcas como Adobe y Canva.
Recientemente, ESET identificó una campaña que busca aprovechar el interés por la creación de videos con Inteligencia Artificial para infectar a sus víctimas con un software que permite el acceso remoto al dispositivo de la víctima.
El interés por las herramientas de Inteligencia Artificial sigue en auge y parecería no tener techo. Esto lo sabe todo el mundo, incluyendo los cibercriminales. El ejemplo reciente que compartiremos y analizaremos a continuación, es otra muestra más de ello.
En concreto, hablamos de un sitio falso de CapCut mediante el cual, supuestamente, se pueden crear videos utilizando la IA. Lo cierto es que luego de ingresar el prompt para la creación del video en cuestión, el sitio simula que piensa y luego ofrece descargar el resultado. Al hacerlo, lo que en realidad descarga es un troyano. Este caso no es aislado, ya que como veremos más adelante en este mismo artículo, forma parte de una campaña más amplia en la que también se han identificado sitios falsos que suplantan la identidad de otras marcas como Adobe o Canva.
A continuación, los detalles de un caso que sirve como paradigma para entender como la IA está siendo utilizada como señuelo por los cibercriminales.
¿En qué consiste esta campaña que busca instalar un software de acceso remoto?
El ejemplo, reportado por el usuario de X g0njxa, se centra en el sitio falso “capcutproia”, el cual simula ser una herramienta para crear videos con la ayuda de la Inteligencia Artificial. Al ingresar, se presenta una web muy similar al sitio oficial.
Una vez dentro, el paso siguiente que ofrece el sitio es escribir un prompt o bien subir una imagen de referencia para crear el video deseado. Como vemos en la Imagen 2, el sitio simula que piensa y procesa el pedido.
Una vez que termina de procesar el pedido, ofrece descargar el resultado. Al hacer clic en la descarga, se obtiene un archivo llamado “creation_made_by_capcut.mp4 – Capcut.com”.
Es importante marcar que el archivo que se obtiene de la descarga es un troyano. Es decir, un archivo que dice ser algo que en realidad no es. En este caso puntual el archivo que se presenta como el video generado en realidad descarga una herramienta que permite a un tercero conectarse remotamente en el equipo del usuario.
En concreto, ESET detecta este archivo como Win32/RemoteAdmin.ConnectWiseControl.E. Puntualmente en Latinoamérica no se evidenciaron detecciones, pero sí en países como República Checa y Sri Lanka.
Con respecto a la herramienta que descarga el archivo en el equipo de la víctima, se trata de un instalador de una herramienta simil Teamviewer. Si bien algunas soluciones de seguridad pueden detectar este archivo como una PUA, es decir, un archivo potencialmente malicioso porque se trata de una herramienta legítima, está claro que en el contexto que se descarga el archivo la intención es maliciosa.
“La mayoría de aplicaciones de control remoto cuentan con la opción de generar un ejecutable preconfigurado para conectarse con una IP o usuario específico, lo cual es útil para la asistencia virtual, pero también para los atacantes. Así, basta con que la víctima abra el archivo, y en dos o tres clicks le dará el control de su equipo al cibercriminal sin saberlo”, advierte Martina López, Security Researcher del equipo de Laboratorio de ESET Latinoamérica.
Otros sitios falsos suplantando marcas como Canva o Adobe
Además de este sitio falso que se hace pasar por CapCut, el o las personas responsables detrás de esta campaña maliciosa también están creando sitios similares que se hacen pasar por herramientas para crear contenido con IA simulando ser de marcas como Canva o Adobe, entre otras. Así lo reportó la empresa Silent Push: a través de X que confirma la existencia de al menos 13 sitios similares. Todos con el mismo comportamiento: hacer creer a las potenciales víctimas que descargan un archivo generado con la herramienta pero en realidad descargan una herramienta que permite el acceso remoto a la máquina del usuario.
Ejemplo de otros sitios de phishing similares: